Nga sử dụng công cụ Cellebrite trên iPhone của nhà hoạt động bị bỏ tù vài tháng sau khi tuyên bố ngừng bán hàng

Nhà chức trách Nga đã sử dụng công cụ pháp y UFED của Cellebrite để xâm nhập vào iPhone của nhà hoạt động đối lập đang bị giam giữ Andrey Pivovarov vào tháng 6 năm 2021, ba tháng sau khi Cellebrite tuyên bố sẽ ngừng bán các công cụ và dịch vụ của mình cho Nga và Belarus. Phát hiện này do Citizen Lab công bố dựa trên các dấu vết trên điện thoại và báo cáo chính thức của chính phủ Nga.
Minh họa tấn công iPhone

Nhà chức trách Nga đã sử dụng công cụ pháp y UFED của Cellebrite để xâm nhập vào iPhone của nhà hoạt động đối lập đang bị giam giữ Andrey Pivovarov vào tháng 6 năm 2021, ba tháng sau khi Cellebrite tuyên bố sẽ ngừng bán các công cụ và dịch vụ của mình cho Nga và Belarus.

Phát hiện này, được Citizen Lab công bố vào ngày 25 tháng 6, dựa trên hai yếu tố hiếm khi trùng khớp: các dấu vết trên chính chiếc điện thoại và một báo cáo chính thức của chính phủ Nga có nêu đích danh công cụ này.

Các nhà điều tra đã tìm kiếm trong dữ liệu được trích xuất các liên lạc chính trị, các nhân vật đối lập và tên của các tổ chức hoạt động. Đây không phải là phần mềm gián điệp từ xa (remote spyware). Đó là một công cụ pháp y được chạy trên một thiết bị đã bị tịch thu và đang bị tạm giữ, được sử dụng để xây dựng hồ sơ trong một vụ truy tố chính trị.

Bối cảnh vụ việc và quá trình tịch thu thiết bị

Pivovarov từng điều hành Open Russia, một nhóm đối lập mà Điện Kremlin đã gán nhãn là "không được hoan nghênh" (undesirable), một định danh khiến việc tiếp tục tham gia trở thành tội hình sự.

Ông đã bị kéo khỏi một chuyến bay tại sân bay St. Petersburg vào ngày 31 tháng 5 năm 2021, và chiếc iPhone 12 cùng MacBook của ông đã bị tịch thu. Ông chưa bao giờ đồng ý cho khám xét và cũng không bao giờ bàn giao mật khẩu của mình. Các thiết bị này bị tạm giữ cho đến năm 2023. Vào tháng 7 năm 2022, ông bị kết án 4 năm tù; ông đã được trả tự do vào tháng 8 năm 2024 trong một đợt trao đổi tù nhân.

Pivovarov đã đưa chiếc điện thoại cho các nhà nghiên cứu của Citizen Lab vào mùa thu năm 2025. Các dấu vết trên đó có niên đại từ năm 2021, khi thiết bị đang nằm trong tay cơ quan chức năng Nga.

Dấu vết kỹ thuật và Báo cáo pháp y

Các hồ sơ MobileLockdown, vốn theo dõi các cặp kết nối USB tin cậy của iPhone, cho thấy một kết nối vào ngày 17 tháng 6 năm 2021 tới một host ID khớp với "dấu vân tay" của Cellebrite mà các nhà nghiên cứu đã xác định trong một vụ việc trước đó ở Jordan. Họ đánh giá đây là bằng chứng có độ tin cậy cao cho thấy UFED của Cellebrite đã được sử dụng.

Giấy tờ của chính Nga cũng xác nhận kết quả phân tích pháp y này. Pivovarov đã nhận được một báo cáo có tiêu đề "Báo cáo Chuyên gia Pháp y số 1269-17" trong quá trình truy tố, do trung tâm pháp y của Bộ Nội vụ chuẩn bị cho Ủy ban Điều tra Nga, và ông đã cung cấp một bản sao cho Citizen Lab.

Báo cáo nêu tên cụ thể các sản phẩm UFED Physical Analyzer và UFED 4PC của Cellebrite. Nó tài liệu hóa việc trích xuất dữ liệu từ WhatsApp, Telegram và Viber, đồng thời cho thấy các nhà điều tra đang thực hiện tìm kiếm từ khóa "Open Russia Civic Movement" và tên của các nhân vật đối lập, bao gồm Mikhail Khodorkovsky, luật sư Anastasiya Burakova và đối tác của Pivovarov, Tatiana Usmanova.

Tài liệu pháp y từ Nga
Hình ảnh tài liệu báo cáo pháp y được trích dẫn trong nghiên cứu.

Chiếc MacBook đã chống chịu được. Báo cáo của MVD mô tả một nỗ lực trích xuất thất bại do bị chặn bởi mã hóa, và Citizen Lab đã tìm thấy các lần đăng nhập thất bại tương ứng vào cùng ngày, cho thấy chính quyền không bao giờ có được mật khẩu của Pivovarov.

Lỗ hổng trong việc ngừng cung cấp dịch vụ

Điểm mấu chốt nằm ở thời điểm. Cellebrite đã thông báo vào tháng 3 năm 2021 rằng họ sẽ ngừng bán hàng cho Nga và Belarus, một động thái giúp cắt đứt các bản cập nhật nhưng vẫn để lại các phần cứng hiện có hoạt động. Citizen Lab cho biết phần lớn UFED vẫn tiếp tục hoạt động ngoại tuyến rất lâu sau khi hỗ trợ kết thúc, đó chính là "lỗ hổng" trong việc cắt đứt dịch vụ: rủi ro không chỉ nằm ở các thương vụ bán hàng trong tương lai, mà còn ở số lượng thiết bị đã được cài đặt sẵn trong các văn phòng cảnh sát và tình báo.

Khi được yêu cầu bình luận, Cellebrite nói với Citizen Lab và Access Now rằng bất kỳ việc sử dụng phần cứng cũ nào của họ tại Nga sau tháng 3 năm 2021 là "hoàn toàn không được phép". Công ty cho biết phần cứng đó chạy mà không có sự hỗ trợ hoặc đồng ý của họ và ngày nay, nó sẽ không tương thích với các thiết bị hiện đại.

Cellebrite cho biết Nga vẫn nằm vĩnh viễn trong danh sách khách hàng bị hạn chế và họ đang chuyển sang cấp phép đăng ký (subscription) để các công cụ ngừng hoạt động khi hết hạn. Sự khác biệt này có ý nghĩa về mặt pháp lý hơn là vận hành: công cụ này vẫn hoạt động khi các nhà điều tra Nga nắm giữ chiếc điện thoại vào năm 2021.

Hệ quả và Lời khuyên an ninh

Một điểm đáng lưu ý: những người có tên bị tìm kiếm trên điện thoại của Pivovarov sau đó đã nổi lên như là mục tiêu của COLDRIVER, một chiến dịch lừa đảo (phishing) có liên quan đến FSB, và Burakova đã bị nhắm mục tiêu nhưng không mắc bẫy.

Citizen Lab không khẳng định có mối liên hệ trực tiếp, nhưng cơ chế này rất rõ ràng: trích xuất biểu đồ quan hệ xã hội của một nhà hoạt động, và bạn sẽ có danh sách mục tiêu cho chiến dịch tiếp theo.

Lời khuyên của Citizen Lab cho bất kỳ ai có nguy cơ bị tịch thu thiết bị là rất thẳng thắn, mặc dù không có cách nào là tuyệt đối trước một công cụ pháp y:

  • Sử dụng mã khóa chữ và số (alphanumeric passcode) mạnh.
  • Luôn cập nhật hệ điều hành.
  • Bật Lockdown Mode trên iPhone hoặc Advanced Protection trên Android 16 trở lên.
  • Mã hóa đĩa trên máy tính.
  • Tắt nguồn thiết bị hoàn toàn trước khi đi vào tình huống rủi ro cao.
  • Nếu một thiết bị bị tịch thu được trả lại, hãy thay đổi mọi mật khẩu tài khoản và kiểm tra kỹ thiết bị trước khi xóa sạch dữ liệu.

Nga gia nhập danh sách ngày càng dài gồm Serbia, Kenya và Jordan trong các vụ lạm dụng công cụ Cellebrite được chứng minh bằng pháp y. Bài học sâu sắc hơn là: việc ngừng bán hàng mà vẫn để lại các công cụ cũ có khả năng hoạt động ngoại tuyến sẽ không có nhiều ý nghĩa một khi chiếc điện thoại đã nằm trong phòng tạm giam.